Güvenlik, modern yaşamımızın kritik bir özelliğidir. Dijital iletişime dayanan şeylerin sayısıyla, güvenlik artık temelde temeldir. Sadece bir web sitesine bağlanma örneğini ele alalım. Bağlantı güvenli bir şekilde şifrelenmişse, sizinle web sunucusu arasında gönderilen verilerin değiştirilmediğinden ve başkaları tarafından bilinmediğinden emin olabilirsiniz. Güvenli olmayan bir şekilde bağlanırsanız, bağlantınızın iletimini ileten veya iletimini görebilen herhangi bir cihaz tam olarak hangi verilerin iletildiğini görebilir. Bu senaryoda, siz ve sunucu arasındaki aktarım zincirinin bir parçası olan herhangi bir cihaz da aktarılan verileri düzenleyebilir.
Tüm bu gizlilikle ilgili olan şey, çoğunun hiç de gizli olmamasıdır. Aslında, tüm şifreleme algoritması herkese açıktır. Şifrelenmiş mesajların güvenli olabilmesi için sistemin sadece tek bir bölümünün gizli olması yeterlidir. Şifreleme anahtarı budur. Modern kriptografi, Kerckhoffs'un 1883 İlkesini takip eder: "Bir şifreleme sistemi, anahtar dışında sistem, kamu bilgisidir. O zamanlar sistemler tipik olarak başka bir ilkeye dayanıyordu: aracılığıyla güvenlik belirsizlik.
Belirsizlik yoluyla güvenlik
Belirsizlik yoluyla güvenlik kavramı ilk başta daha mantıklı görünüyor. Tüm şifreleme sistemi gizliyse, o zaman herhangi biri mesajın şifresini nasıl çözebilir? Ne yazık ki, bu mantıklı olsa da, açıklayamadığı birkaç önemli sorun var. Asıl sorun, sistemi açığa çıkma riskine açmadan kullanamamanızdır. Bir bilgisayarda uygularsanız, saldırıya uğrayabilir. Fiziksel bir makine çalınabilir. Yalnızca güvenilir insanlara öğretirseniz, kandırılabilirler veya yakalanıp işkence görebilirler.
Böyle bir sistemin klasik bir örneği Sezar kaydırma şifresidir. Aslında adını hassas yazışmalar için kullanan Julius Caesar'dan almıştır. Sezar şifreleri, devrikliği bir harfin diğerine döngüsel bir şekilde ayarlar. Sezar üçlü bir sola kaydırma kullandı, bu da D'nin A olmasına neden oldu. Bu, Suetonius tarafından MS 56 yılında yazılan "Jül Sezar'ın Hayatı"ndan bilinmektedir. Bu şifrenin o sırada ne kadar güvenli olduğu belli değil. Böyle bir plan şimdi esasen hiçbir güvenlik sunmayacaktır. Bunun nedeni ise sistemin gizli kalmasına güvenilmesidir. Teknik olarak bir tuş kullanır, bu tuş alfabede kaydırılan yerlerin sayısıdır. Yine de olası anahtarların sayısı o kadar azdır ki tüm olası seçenekler elle bile kolayca test edilebilir. Bu, koruma faktörü olarak yalnızca sistem bilgi eksikliğini bırakır.
Düşman sistemi biliyor
Bir noktada, düşman, her kimse, muhtemelen sisteminizi sanki halka açıkmış gibi tamamen anlayabilecek. Eğer sisteminiz sadece gizli ise güvenli ise sistem anlaşıldığında değiştirmeniz gerekir. Bu maliyetlidir ve zaman alır. Bunun yerine, sisteminiz yalnızca bir anahtarın gizliliğine dayanıyorsa, bunu yalnızca gizli tutmak değil, değiştirmek de daha kolaydır.
Karmaşık ve yetersiz belgelenmiş sistemlerin düzgün bir şekilde uygulanması genellikle zordur. Ayrıca, özellikle içerik oluşturucu tarafından korunmadıklarında, bakımları da zordur. Meşru kullanıcıların sistemi kullanabilmesi için yeterli belgenin mevcut olması gerekir. Bu belgeler daha sonra, sistemi kısmen veya tamamen anlayabilen bir düşman tarafından elde edilebilir.
Ek olarak, uygun kriptografiyi yapmak, kavramlara aşina olan insanlar için bile inanılmaz derecede zordur. Bir sistem uzman olmayan biri tarafından tasarlanmışsa, içinde büyük olmasa da en azından küçük kusurlar olma ihtimali yüksektir. Bir kamu sistemi, onlarca yıllık bir süre boyunca tüm uzmanlar tarafından incelenebilir. Bu, iyi bilinen bir sistemin gerçekten güvenli olduğuna inanmak için sağlam bir neden verir.
Çözüm
Belirsizlik yoluyla güvenlik, sistemin mekanizması anlaşılmadığı için güvenli olan bir sistem kavramıdır. Ne yazık ki, sistemi anlamak nispeten kolayken, yeterince yeni bir sistem geliştirmek zordur. Kriptografi gibi modern güvenlik sistemleri genellikle halka açıktır ve güvenliğini sağladığı verileri korumak için gizli bir anahtarın güvenliğine güvenir. Anahtar isteğe göre değiştirilebilir. Pek çok farklı anahtar, farklı kişiler tarafından herhangi bir olumsuz etki olmaksızın aynı anda kullanılabilir. Küçük bir anahtarı güvence altına almak, tüm sistemden çok daha kolaydır. Ayrıca tehlikeye atıldığında değiştirmek çok daha kolaydır.